多要素認証(MFA)とは？仕組みと導入手順をわかりやすく解説

「パスワードだけで本当に安全なのだろうか」と不安に感じたことはありませんか。実際、IDとパスワードだけの認証は、フィッシングや総当たり攻撃によって突破されるリスクが年々高まっています。IPA（情報処理推進機構）の「情報セキュリティ10大脅威 2025」でも、認証情報の窃取による不正ログインは企業にとって深刻な脅威として上位に挙げられています。

この記事では、多要素認証（MFA）の仕組み・種類・具体的な設定手順、そして運用で失敗しないためのポイントまでを、現場で使えるレベルで解説します。「MFAが大事なのはわかるけど、何から手をつければいいかわからない」という情シス担当の方に向けた内容です。中小企業が予算をかけずに今日から導入できる方法まで、実践的に網羅します。

多要素認証（MFA）とは？なぜ今すぐ必要なのか

多要素認証（MFA: Multi-Factor Authentication）とは、ログイン時に「異なる種類の認証要素」を2つ以上組み合わせて本人確認を行う仕組みです。パスワード1つだけに頼らず、独立した複数の要素を使うことで、1つが攻撃者に奪われても不正アクセスを防げる構造になっています。

認証に使える要素は大きく3種類あります。

・知識情報（Something you know）: パスワード、PINコード、秘密の質問など「本人だけが知っている情報」
・所持情報（Something you have）: スマートフォン、ハードウェアトークン、ICカードなど「本人だけが持っている物」
・生体情報（Something you are）: 指紋、顔、虹彩など「本人の身体的特徴」

ここで重要なのは、「異なる種類の要素」を組み合わせるという点です。パスワード＋秘密の質問は、どちらも知識情報なのでMFAにはなりません。パスワード（知識）＋スマホアプリのワンタイムコード（所持）のように、別々の種類を組み合わせて初めてMFAと呼べます。「2要素認証（2FA: Two-Factor Authentication）」と呼ばれる方式は、MFAの一形態です。

パスワードだけでは守りきれない理由

パスワード単体の認証が危険な理由は明確です。

・フィッシング: 偽サイトに入力させれば、パスワードはそのまま盗まれる（HTTPS化された偽サイトも増加中）
・総当たり攻撃: 短いパスワードや辞書に載っている単語は、ツールで短時間に突破される
・パスワードの使い回し: 1つのサービスで漏洩したパスワードが、別のサービスへの不正ログインに使われる（リスト型攻撃／クレデンシャルスタッフィング）
・ダークウェブでの売買: 過去の情報漏洩で流出した認証情報が、闇市場で取引されている
・キーロガー・マルウェア: PCに仕込まれたマルウェアがキー入力を記録する。複雑なパスワードでも入力した瞬間に盗まれる

自分のメールアドレスが過去の流出データベースに含まれているかは、Have I Been Pwned（https://haveibeenpwned.com/）で確認できます。一度確認しておくと、リスクの実感が一気に変わります。

MFAを導入すれば、仮にパスワードが漏洩しても、攻撃者は2つ目の認証要素を突破できないため、不正ログインを防げます。Microsoftの調査では、MFAを有効にすることでアカウント侵害の99.9%以上を防げるとされています。

MFAの認証方式を理解する

MFAにはさまざまな実装方式があり、それぞれセキュリティ強度・利便性・コストが異なります。自社に合った方式を選ぶために、主要な方式の特徴を把握しておきましょう。

1. SMS認証

登録した電話番号にSMSで6桁程度のワンタイムコードが送られ、それを入力して認証する方式です。スマートフォンさえあれば追加のアプリが不要なため、導入のハードルが低いのが特徴です。

ただし、SIMスワップ詐欺（攻撃者が通信事業者を騙してSIMカードを再発行させる手口）やSMSの傍受といった攻撃手法が確認されており、セキュリティ強度はMFAの中では最も低い部類に入ります。NIST（米国国立標準技術研究所）のガイドラインSP 800-63BでもSMS認証は「制限付き認証器」として位置づけられています。とはいえ、パスワードだけよりは格段に安全なので、まずSMSから入って後述のTOTPへ移行するのも現実的な進め方です。

2. 認証アプリ（TOTP）

Google AuthenticatorやMicrosoft Authenticator、Authyなどのアプリが、時間ベースで30秒ごとに変わるワンタイムコードを生成する方式です。TOTP（Time-based One-Time Password）と呼ばれ、通信回線を使わないためSMS認証よりもセキュリティ強度が高くなります。インターネット接続が不要でオフライン環境でも動作する点も実用的です。

中小企業のMFA導入では、この方式が「コスト・セキュリティ・運用のしやすさ」のバランスが最も良く、最初の選択肢としておすすめです。

3. プッシュ通知認証

ログイン操作をすると、登録済みのスマートフォンに「このログインを承認しますか？」というプッシュ通知が届き、ワンタップで承認する方式です。Microsoft AuthenticatorやDuo Mobileなどが対応しています。

コード入力の手間がない分、ユーザー体験は快適です。ただし、攻撃者がログインを繰り返して大量のプッシュ通知を送りつけ、ユーザーが誤って承認してしまう「MFA疲労攻撃（MFA Fatigue）」という手口もあるため、数字の照合を求めるタイプ（Number Matching）を選ぶようにしてください。

4. セキュリティキー（FIDO2/WebAuthn・パスキー）

YubiKeyなどの物理デバイスをUSBポートに差し込む、またはNFCでかざすことで認証する方式です。FIDO2（Fast IDentity Online 2）／WebAuthn規格に準拠しており、フィッシング耐性が極めて高いのが特長です。偽サイトではセキュリティキーが反応しないため、フィッシングサイトにうっかり認証情報を渡してしまうリスクがありません。同じ仕組みをスマートフォンの生体認証で代替する「パスキー（Passkeys）」も急速に普及しています。

デバイスの購入コスト（1本あたり5,000〜15,000円程度）と、紛失時のバックアップ運用を検討する必要がありますが、管理者アカウントや重要システムの認証にはぜひ検討してほしい方式です。

中小企業でのMFA導入手順

「MFAの重要性はわかった。でも、どこから始めればいいのか」という声をよく聞きます。ここでは、情シス1人体制でも段階的に進められる導入手順を解説します。

1. 優先度の高いサービスを洗い出す

すべてのシステムに一度にMFAを導入するのは現実的ではありません。まずは「侵害されたときの被害が大きいもの」から優先的に導入しましょう。

・最優先: Microsoft 365 / Google Workspace（メール・ファイル共有の中核）
・優先: VPN、リモートデスクトップ、クラウドの管理コンソール（AWS、Azure、GCP等）
・次の段階: 社内の業務アプリ、ファイルサーバー、開発環境（GitHub等のソースコード管理）

特にクラウドサービスの管理者アカウントは最優先です。管理者アカウントが乗っ取られると、全社員のデータにアクセスされる危険があります。

2. 認証方式を選定する

前章の比較表をもとに、自社の環境に合った方式を選びます。多くの中小企業では、以下の組み合わせが現実的です。

・一般社員: 認証アプリ（TOTP）— Microsoft AuthenticatorまたはGoogle Authenticator
・管理者・経営層: 認証アプリ＋セキュリティキー（より強固な保護）

社員全員にスマートフォンを配布していない場合は、会社支給の端末へのアプリインストール、またはハードウェアトークンの配布を検討してください。

3. TOTP（認証アプリ）の基本セットアップ

TOTPは無料で始められるため、最初の導入に最適です。基本的な流れは次のとおりです。

# TOTP設定の基本フロー
# 1. Google Authenticator（またはMicrosoft Authenticator / Authy）をインストール
# 2. 対象サービスの「セキュリティ設定」→「2段階認証」→「認証アプリ」を選択
# 3. 表示されるQRコードをアプリで読み取る
# 4. アプリに表示された6桁コードを入力して確認
# 5. バックアップコード（8〜10桁の復旧コード）を安全な場所に保存する

バックアップコードの保管が特に重要です。スマートフォンを紛失・機種変更した際に、バックアップコードがないとアカウントにアクセスできなくなります。印刷して金庫に保管する、またはパスワードマネージャー（1Password、Bitwarden等）の安全なメモに記録することを推奨します。

4. Microsoft 365でMFAを有効化する

中小企業で最も利用されているMicrosoft 365を例に、MFAの有効化手順を説明します。

Microsoft Entra管理センター（旧Azure AD）からの設定手順です。

・手順1: Microsoft Entra管理センター（https://entra.microsoft.com）にグローバル管理者でサインイン
・手順2: 左メニューから「保護」→「認証方法」→「ポリシー」に移動
・手順3: 「Microsoft Authenticator」を選択し、対象ユーザーを「すべてのユーザー」に設定
・手順4: 「セキュリティの既定値群」を有効にする（小規模組織向けの一括設定）

セキュリティの既定値群を有効にすると、全ユーザーに対してMFAの登録が求められます。条件付きアクセスポリシーでより細かく制御したい場合は、Microsoft Entra ID P1以上のライセンスが必要です。

5. Google Workspaceでの設定例

Google Workspaceを利用している場合は、管理コンソールから設定します。

・手順1: Google管理コンソール（https://admin.google.com）に管理者でログイン
・手順2: 「セキュリティ」→「認証」→「2段階認証プロセス」に移動
・手順3: 「ユーザーが2段階認証プロセスを有効にできるようにする」をオンに
・手順4: 適用期限を設定し、期限までに登録しなかったユーザーはロックアウトされるよう設定

管理者アカウントについては「2段階認証プロセスの適用」を「オン」にして、強制適用することを推奨します。

6. LinuxサーバーへのMFA設定（PAM + Google Authenticator）

WebサービスだけでなくSSHでLinuxサーバーにアクセスする際にもMFAを適用できます。Google Authenticatorの公式PAMモジュールを使う方法です。

# Google Authenticator PAMモジュールのインストール
sudo apt-get install libpam-google-authenticator    # Debian/Ubuntu系
sudo dnf install google-authenticator-libpam        # RHEL/CentOS系

# ユーザーごとに初期設定を実行
google-authenticator
# 対話形式でTOTPを設定し、QRコードが表示される

# /etc/pam.d/sshdに以下を追加（既存設定の先頭行に）
# auth required pam_google_authenticator.so

# /etc/ssh/sshd_configを編集
# ChallengeResponseAuthentication yes
# AuthenticationMethods publickey,keyboard-interactive

# SSHサービスを再起動
sudo systemctl restart sshd

この設定後は、SSH鍵認証に加えてTOTPコードの入力が求められます。鍵が盗まれても、TOTPなしにはログインできません。LinuxのPAM（Pluggable Authentication Modules）全般の設定については、姉妹サイトLinuxMaster.JPでも解説しています。

7. 社内展開とサポート体制を整える

MFAの設定自体は難しくありませんが、社員への展開でつまずくケースが少なくありません。スムーズに導入するためのポイントをまとめます。

・事前告知: 導入の1〜2週間前に「なぜMFAが必要なのか」を簡潔に説明するメールを送る
・設定マニュアル: スマホのスクリーンショット付きで手順書を作成する（認証アプリのインストールからQRコード読み取りまで）
・猶予期間: いきなり強制せず、2〜4週間の登録期間を設ける
・ヘルプデスク対応: 「スマホを機種変更したらどうすればいいか」「スマホを忘れたときの対処法」をFAQとして用意しておく

中小企業でも今日からできること

「MFAは大企業のもの」という誤解があります。実際には、無料のTOTP認証アプリを使えばコスト0で主要なクラウドサービスへのMFAを始められます。予算やリソースに制約があっても、以下のロードマップで段階的に進められます。

コスト別の導入ロードマップ

・今すぐ無料でできること: Google Workspace / Microsoft 365 / AWS / GitHub の管理者アカウントにTOTPを設定する（設定時間: 1アカウントあたり5〜10分）
・1週間以内に実施すること: 全社員のメール・クラウドアカウントにMFAを強制適用する。Google Workspace管理コンソールなら一括で強制適用が可能
・1ヶ月以内に整備すること: 社内VPN・リモートアクセス環境にMFAを組み込む。スマホ紛失時の復旧フローを文書化してヘルプデスクに共有する
・予算がある場合の追加対策: システム管理者や特権アカウントにYubiKey等のハードウェアキーを導入する（1本5,000〜15,000円）

社員数10名以下の小規模組織であれば、Google WorkspaceまたはMicrosoft 365のMFA強制適用だけで、業務上の主要なリスクをかなり抑えられます。まず「管理者アカウントのMFA有効化」から着手してください。

なお、業務のDX推進に伴い、クラウドサービスの利用が増えるほどMFAの重要性は高まります。DXとセキュリティの両立について詳しく知りたい方は、姉妹サイトDXマスターズ.TOKYOもご覧ください。

よくある誤解と注意点

「MFAを入れたら安心」ではない

MFAは強力な防御手段ですが、万能ではありません。前述のMFA疲労攻撃のほか、リアルタイムフィッシング（Adversary-in-the-Middle攻撃。攻撃者が偽サイトでユーザーが入力したTOTPコードを即座に本物サイトで使い回す手口）のような高度な攻撃も存在します。MFAの導入に加えて、フィッシング対策の教育や不審なログインの監視も組み合わせることが大切です。なお、リアルタイムフィッシングに対しては、FIDO2/WebAuthn方式のハードウェアキーやパスキーが特に有効です。

「二段階認証」と「多要素認証」は同じ？

似ているようで異なります。二段階認証（2-Step Verification）は、認証を2回行うことを指し、要素の種類は問いません。たとえばパスワード＋秘密の質問は二段階認証ですが、どちらも知識情報なので多要素認証ではありません。多要素認証は「異なる種類の要素」を組み合わせることが条件です。セキュリティ強度は多要素認証のほうが高くなります。

SMS認証を過信しない

SMSは手軽ですが前述のとおりSIMスワッピング攻撃のリスクがあります。銀行口座・クラウドサービスの管理者アカウント・ドメイン管理など、特に重要なアカウントにはSMS認証よりTOTP認証アプリかハードウェアキーを選んでください。

バックアップコードの管理を忘れない

MFAを設定すると、多くのサービスで「バックアップコード」（リカバリーコード）が発行されます。スマートフォンの紛失や故障時に、MFAをバイパスしてログインするための緊急用コードです。このコードを安全な場所に保管しておかないと、自分自身がアカウントにログインできなくなる事態に陥ります。紙に印刷して金庫に保管する、またはパスワードマネージャーに保存するなど、確実に管理してください。管理者アカウントは複数の担当者がアクセスできる体制にしておくことも重要です。

「MFAを入れたのでパスワード管理は緩めてよい」は危険

MFAが突破される状況（ハードウェアキー紛失・SIMスワッピング等）に備え、パスワード自体も引き続き強固に保つ必要があります。MFAはパスワードを補完するものであり、パスワード管理の代替ではありません。長く・推測されにくく・使い回さないという基本は維持してください。

本記事のまとめ

多要素認証（MFA）は、パスワード漏洩による不正ログインを防ぐ、最も費用対効果の高いセキュリティ対策の一つです。

導入チェックリスト

・□ Microsoft 365 / Google Workspace の管理者アカウントにTOTPを設定した
・□ 各クラウド管理者アカウント（AWS / Azure / GitHub）にMFAを設定した
・□ バックアップコードを安全な場所に保管した
・□ 社員向けMFA導入の事前告知メールを送付した
・□ 設定マニュアル（スクリーンショット付き）を用意した
・□ スマホ紛失時の復旧フローを文書化した
・□ SSHサーバーへのPAM＋Google Authenticator導入を検討した
・□ 管理者・特権アカウントにハードウェアキー（YubiKey等）の導入を検討した

パスワードだけに頼るセキュリティは、鍵が1つしかない玄関と同じです。MFAという「もう1つの鍵」を加えることで、不正侵入のリスクを大幅に下げられます。「100%安全」なセキュリティ対策は存在しませんが、MFAの導入はその中でも特にリスクと手間のバランスが優れた対策です。まずは管理者アカウントから、今日始めてみてください。

関連記事

• 中小企業のID管理入門｜退職者アカウント放置・過剰権限を情シス1人で防ぐ実践ガイド
• 中小企業のシャドーIT対策｜情シス1人でも管理できるクラウドサービス・私物デバイス統制ガイド
• 中小企業のインシデント対応手順書の作り方｜情シス1人でもすぐ使えるテンプレート付き解説